金山毒霸2009
金山清理专家
专杀工具
在线杀毒
密保
网盾
系统急救箱
ARP防火墙
病毒名:Win32.Troj.DownLoader.wd.106496
本病毒所有命名:
影响系统:
Win9x,WinMe,Linux
简介:
病毒运行后释放以下病毒文件: %systemroot%sysmte32winscksow.dll 枚举进程查找 avp.exe 进程,如系统上存在此进程则修改系统时间的年份为 2000 年.
行为分析:
这是一个下载者木马。它如果发现系统上有 杀毒软件“卡巴斯基”的进程,就会修改系统时间为2000年,使卡巴失效。它会不断重写自己在注册表中的数据、结束大量安全软件进程,以保证自己随时处于最佳的“作案状态”。然后在后台连接指定的地址,下载大量的恶意程序。
:
影响系统:
Win9x,WinMe,Linux
简介:
病毒运行后释放以下病毒文件: %systemroot%sysmte32winscksow.dll 枚举进程查找 avp.exe 进程,如系统上存在此进程则修改系统时间的年份为 2000 年.
行为分析:
这是一个下载者木马。它如果发现系统上有 杀毒软件“卡巴斯基”的进程,就会修改系统时间为2000年,使卡巴失效。它会不断重写自己在注册表中的数据、结束大量安全软件进程,以保证自己随时处于最佳的“作案状态”。然后在后台连接指定的地址,下载大量的恶意程序。
描述:
病毒运行后释放以下病毒文件:
%systemroot%sysmte32winscksow.dll
枚举进程查找 avp.exe 进程,如系统上存在此进程则修改系统时间的年份为 2000 年.
释放病毒文件 %systemroot%sysmte32winscksow.dll 并把该文件设置属性为"隐藏"和"系统".
枚举系统查找 explorer.exe 进程,把病毒文件 %systemroot%sysmte32winscksow.dll 注入到其进程.
创建线程不断重写病毒的注册表启动项相关的键值.
枚举系统进程结束以下进程名:
avp.exe (通过修改系统时间为 2000 年)
360tray.exe
KVwsc.exe
KVMonXP.exe
Kvsrvxp.exe
kwatch.exe
kavstart.exe
KPfw32.exe
kavpfw.exe
runiep.exe
ravmon.exe
Ravmond.exe
ravtask.exe
ccenter.exe
rfwmain.exe
rfwmain.exe
rfwsrv.exe
rfwcfg.exe
PFW.exe
KVMonXP.kxp
Navapsvc.exe
Mcshield.exe
shstat.exe
Vstskmgr.exe
ccapp.exe
vptray.exe
rtvscan.exe
kvfwmcl.exe
AvastU3.exe
avconsol.exe
AvMonitor.exe
FYFireWall.exe
病毒下载后的文件保存至 %systemroot% 目录分别为:
0winecest.exe
1winecest.exe
2winecest.exe
3winecest.exe
4winecest.exe
5winecest.exe
病毒创建以下注册表项:
HKEY_CLASSES_ROOTCLSID{9EEF7056-B89D-9DE8-A060-D585EA746799}
HKEY_CLASSES_ROOTCLSID{9EEF7056-B89D-9DE8-A060-D585EA746799} @ ""
HKEY_CLASSES_ROOTCLSID{9EEF7056-B89D-9DE8-A060-D585EA746799}InProcServer32
HKEY_CLASSES_ROOTCLSID{9EEF7056-B89D-9DE8-A060-D585EA746799}InProcServer32 @ "%systemroot%sysmte32winscksow.dll"
HKEY_CLASSES_ROOTCLSID{9EEF7056-B89D-9DE8-A060-D585EA746799}InProcServer32 ThreadingModel "Apartment"
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{9EEF7056-B89D-9DE8-A060-D585EA746799}
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{9EEF7056-B89D-9DE8-A060-D585EA746799} @ ""
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{9EEF7056-B89D-9DE8-A060-D585EA746799}InProcServer32
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{9EEF7056-B89D-9DE8-A060-D585EA746799}InProcServer32 @ "%systemroot%sysmte32winscksow.dll"
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{9EEF7056-B89D-9DE8-A060-D585EA746799}InProcServer32 ThreadingModel "Apartment"
病毒添加注册表值达到自启动:
Key: "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks"
Value: "{9EEF7056-B89D-9DE8-A060-D585EA746799}"
Data: ""
从以下地址下载恶意程序保存至系统上并执行:
http:/ /m**p.lo**m*ll.cn/vm/vv0.exe
http:/ /m**p.lo**m*ll.cn/vm/vv1.exe
http:/ /m**p.lo**m*ll.cn/vm/vv2.exe
http:/ /m**p.lo**m*ll.cn/vm/vv3.exe
http:/ /m**p.lo**m*ll.cn/vm/vv4.exe
http:/ /m**p.lo**m*ll.cn/vm/vv5.exe
病毒运行后释放以下病毒文件:
%systemroot%sysmte32winscksow.dll
枚举进程查找 avp.exe 进程,如系统上存在此进程则修改系统时间的年份为 2000 年.
释放病毒文件 %systemroot%sysmte32winscksow.dll 并把该文件设置属性为"隐藏"和"系统".
枚举系统查找 explorer.exe 进程,把病毒文件 %systemroot%sysmte32winscksow.dll 注入到其进程.
创建线程不断重写病毒的注册表启动项相关的键值.
枚举系统进程结束以下进程名:
avp.exe (通过修改系统时间为 2000 年)
360tray.exe
KVwsc.exe
KVMonXP.exe
Kvsrvxp.exe
kwatch.exe
kavstart.exe
KPfw32.exe
kavpfw.exe
runiep.exe
ravmon.exe
Ravmond.exe
ravtask.exe
ccenter.exe
rfwmain.exe
rfwmain.exe
rfwsrv.exe
rfwcfg.exe
PFW.exe
KVMonXP.kxp
Navapsvc.exe
Mcshield.exe
shstat.exe
Vstskmgr.exe
ccapp.exe
vptray.exe
rtvscan.exe
kvfwmcl.exe
AvastU3.exe
avconsol.exe
AvMonitor.exe
FYFireWall.exe
病毒下载后的文件保存至 %systemroot% 目录分别为:
0winecest.exe
1winecest.exe
2winecest.exe
3winecest.exe
4winecest.exe
5winecest.exe
病毒创建以下注册表项:
HKEY_CLASSES_ROOTCLSID{9EEF7056-B89D-9DE8-A060-D585EA746799}
HKEY_CLASSES_ROOTCLSID{9EEF7056-B89D-9DE8-A060-D585EA746799} @ ""
HKEY_CLASSES_ROOTCLSID{9EEF7056-B89D-9DE8-A060-D585EA746799}InProcServer32
HKEY_CLASSES_ROOTCLSID{9EEF7056-B89D-9DE8-A060-D585EA746799}InProcServer32 @ "%systemroot%sysmte32winscksow.dll"
HKEY_CLASSES_ROOTCLSID{9EEF7056-B89D-9DE8-A060-D585EA746799}InProcServer32 ThreadingModel "Apartment"
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{9EEF7056-B89D-9DE8-A060-D585EA746799}
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{9EEF7056-B89D-9DE8-A060-D585EA746799} @ ""
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{9EEF7056-B89D-9DE8-A060-D585EA746799}InProcServer32
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{9EEF7056-B89D-9DE8-A060-D585EA746799}InProcServer32 @ "%systemroot%sysmte32winscksow.dll"
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{9EEF7056-B89D-9DE8-A060-D585EA746799}InProcServer32 ThreadingModel "Apartment"
病毒添加注册表值达到自启动:
Key: "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks"
Value: "{9EEF7056-B89D-9DE8-A060-D585EA746799}"
Data: ""
从以下地址下载恶意程序保存至系统上并执行:
http:/ /m**p.lo**m*ll.cn/vm/vv0.exe
http:/ /m**p.lo**m*ll.cn/vm/vv1.exe
http:/ /m**p.lo**m*ll.cn/vm/vv2.exe
http:/ /m**p.lo**m*ll.cn/vm/vv3.exe
http:/ /m**p.lo**m*ll.cn/vm/vv4.exe
http:/ /m**p.lo**m*ll.cn/vm/vv5.exe
回复
评论病毒
